PostgreSQL: CVE-2019-9193 Bukanlah Kerentanan Keamanan

Oleh : Ahmad Fadli | Jumat, 12 April 2019 - 17:53 WIB

PostgreSQL Security Team meyakini bahwa registrasi kerentanan keamanan yang terdaftar dalam sistem Common Vulnerabilities & Exposures (CVE) dengan nomor CVE-2019-9193 merupakan sebuah kekeliruan.
PostgreSQL Security Team meyakini bahwa registrasi kerentanan keamanan yang terdaftar dalam sistem Common Vulnerabilities & Exposures (CVE) dengan nomor CVE-2019-9193 merupakan sebuah kekeliruan.

INDUSTRY.co.id, Jakarta-  Terkait dengan pemberitaan yang telah beredar luas tentang kerentanan keamanan pada PostgreSQL, PostgreSQL Security Team ingin menegaskan bahwa hal tersebut bukanlah kerentanan keamanan.

PostgreSQL Security Team meyakini bahwa registrasi kerentanan keamanan yang terdaftar dalam sistem Common Vulnerabilities & Exposures (CVE) dengan nomor CVE-2019-9193 merupakan sebuah kekeliruan. Hal tersebut berpotensi memengaruhi distro PostgreSQL lainnya. PostgreSQL Security Team telah menghubungi pelapor untuk menginvestigasi masalah tersebut.

Pada registrasi CVE-2019-9193 disebutkan bahwa fitur “COPY TO/FROM PROGRAM” yang tersedia pada PostgreSQL 9.3 hingga 11.2 memungkinkan ‘superuser’ database di dalam grup ‘pg_read_server_files’ bisa mengeksekusi perintah sistem operasi. Disebutkan pula bahwa fitur tersebut telah diaktifkan secara default dan bisa disalahgunakan untuk menjalankan perintah sistem operasi di Windows, Linux, dan macOS.

“Padahal yang terjadi adalah fitur yang dipermasalahkan tersebut hanya menjalankan fungsi sebagai mestinya, tidak ada kerentanan,” ungkap Julyanto Sutandang, CEO PT. Equnix Business Solutions.

Ia menambahkan bahwa apa yang diklaim sebagai “kerentanan” tersebut mirip seperti saat login sebagai superuser atau root pada sistem Unix, Anda bisa mengedit dan membuat file serta menjalankan perintah sebagai root.

Fitur “COPY TO/FROM PROGRAM” tersebut secara jelas menyatakan hanya bisa dieksekusi oleh pengguna database yang telah mendapatkan peran sebagai ‘superuser’ atau peran default ‘pg_execute_server_program’.

Fitur tersebut memang dirancang untuk mengijinkan ‘superuser’ atau ‘pg-execute_server_program’ untuk bertindak sebagai pengguna sistem operasi di mana server PostgreSQL berjalan yang pada umumnya sebagai pengguna “postgres”. Peran default pada ‘pg_read_server_files’ dan ‘pg_write_server_files’ yang disebutkan didalam registrasi CVE tidak mengijinkan pengguna database untuk menggunakan fitur “COPY TO/FROM PROGRAM”.

Secara desain, tidak ada batasan keamanan antara ‘superuser’ database dengan ‘user’ sistem operasi di mana PostgreSQL dijalankan. Dengan demikian, server PostgreSQL tidak diijinkan untuk dijalankan sebagai ‘superuser’ dari sistem operasi (“root”).

Fitur “COPY TO/FROM PROGRAM” ditambahkan dalam PostgreSQL 9.3 tidak mengubah apapun yang disebutkan di atas, tetapi menambahkan perintah baru dalam lingkup keamanan yang telah tersedia sebelumnya.

PostgreSQL Security Team mengingatkan semua pengguna PostgreSQL untuk mengikuti praktik terbaik, yaitu tidak pernah memberikan hak akses ‘superuser’ untuk akses secara jarak jauh, atau kepada pihak tidak dikenal. Hal tersebut merupakan prosedur operasional standar keamanan yang seharusnya dilaksanakan dan diikuti dalam administrasi sistem, termasuk pula pada administrasi database.

Komentar Berita

Industri Hari Ini

Ilustrasi tiket

Kamis, 28 Maret 2024 - 17:49 WIB

Jangan Kelewatan, Ini 10 Tips Mendapatkan Tiket dan Voucher Belanja Online!

Berbelanja online telah menjadi bagian integral dari kehidupan sehari-hari, menawarkan kemudahan, variasi produk, dan tentu saja, kesempatan untuk menghemat uang melalui tiket dan voucher serta…

Renos

Kamis, 28 Maret 2024 - 17:36 WIB

Cari Furnitur dan Elektronik Rumah yang Murah? Datang ke Event Renos Gebyar Ramadhan Saja!

Di era yang serba cepat ini, mencari furnitur dan elektronik untuk rumah tidak lagi memerlukan waktu dan usaha yang banyak. Mulai dari mencari furnitur untuk kamar hingga elektronik rumahan…

PT Bank Syariah Indonesia Tbk. (BSI) secara konsisten mendukung program pemerintah dalam mewujudkan Net Zero Emission (NZE) dari berbagai aspek. Salah satunya pembiayaan ramah lingkungan dengan membidik sektor pertanian melalui BSI Mitra Plasma Sawit. Kunjungan dilakukan ke salah satu kebun sawit di Sumatera.

Kamis, 28 Maret 2024 - 17:20 WIB

Dorong Sustainable Banking, BSI Dukung Pembiayaan Sawit Bagi Petani Plasma

PT Bank Syariah Indonesia Tbk. (BSI) secara konsisten mendukung program pemerintah dalam mewujudkan Net Zero Emission (NZE) dari berbagai aspek. Salah satunya pembiayaan ramah lingkungan dengan…

Ilustrasi perumahan

Kamis, 28 Maret 2024 - 17:16 WIB

Terdepan di Wilayah Jabodetabek, Bogor Catat Selisih Pertumbuhan Harga Hunian Tertinggi

Tren harga rumah di Indonesia mengalami peningkatan tahunan sebesar 2,4 persen pada bulan Februari 2024 dibandingkan sejak Februari 2023. Rumah123 mencatat Bogor mengalami kenaikan harga hunian…

Bank Tabungan Pensiun Nasional Tbk (BTPN)

Kamis, 28 Maret 2024 - 14:44 WIB

Bank BTPN Akuisisi Dua Perusahaan Pembiayaan PT Oto Multiartha dan PT Summit Oto Finance

Akuisisi OTO dan SOF jadi tonggak penting bagi Bank BTPN dalam mendorong inovasi produk dan layanan yang semakin relevan dengan kebutuhan perbankan dan pembiayaan masyarakat Indonesia.